Come funziona

Il modello del rischio di revisione afferma che il rischio di revisione (il rischio che il revisore emetta un giudizio errato) è il prodotto di tre componenti: il rischio intrinseco (probabilità che un errore esista nelle asserzioni), il rischio di controllo (probabilità che i controlli non lo rilevino), e il rischio di rilevamento (probabilità che le procedure di audit non lo rilevino). Formalmente, l'ISA 200.A55 descrive questa relazione come uno strumento di pianificazione che consente al revisore di determinare il livello di rischio di rilevamento accettabile in funzione dei rischi già identificati.
Nella pratica, il modello funziona così: il revisore valuta il rischio intrinseco e il rischio di controllo per ogni ciclo o asserzione, quindi determina quale livello di rischio di rilevamento (cioè quale profondità e ampiezza di test) è necessario per ridurre il rischio di revisione complessivo a un livello accettabilmente basso. Se il rischio intrinseco è elevato e il rischio di controllo è elevato, il rischio di rilevamento accettabile sarà basso, il che significa che i test devono essere estesi. Se entrambi i rischi sono bassi, il revisore può accettare un rischio di rilevamento più elevato e testare meno estesamente.
L'applicazione del modello non è una formula rigida. L'ISA 200.A56 consente al revisore di applicare il modello qualitativamente (descrivere i rischi come alto, medio, basso) o quantitativamente (assegnare percentuali). La maggior parte degli studi di revisione mid-tier usa un approccio qualitativo nella pratica, mappando le valutazioni di rischio su ampiezza e profondità di test attraverso le procedure di pianificazione. Documentiamo il ragionamento: quale livello di test è stato scelto e perché, in funzione dei rischi identificati.

Esempio pratico: Mastuzzi Costruzioni S.r.l.

Cliente: Società costruttrice italiana, esercizio 2024, ricavi EUR 38 milioni, rendiconti in IFRS.
Passo 1: Valutazione del rischio intrinseco
Il revisore identifica il ciclo "Ricavi e crediti" come ad alto rischio intrinseco perché la clientela è composta principalmente da tre committenti pubblici (comuni della regione Veneto) con cicli di pagamento da 90 a 120 giorni, generando rischi di completezza e valutazione. Il rischio intrinseco è valutato come elevato.
Nota di documentazione: nel memorandum di pianificazione, il revisore documenta: "Ciclo Ricavi e crediti: rischio intrinseco ELEVATO. Motivazione: tre principali committenti pubblici, cicli di pagamento estesi (90-120 gg), concentrazione di crediti > 60% del totale crediti. Il risultato atteso è elevata pressione di esecuzione sulla completa e puntuale fatturazione."
Passo 2: Valutazione del rischio di controllo
Il revisore verifica l'ambiente di controllo e i controlli specifici sul ciclo ricavi. La società ha un software gestionale (SAP) con accessi controllati e riconciliazioni mensili tra registro fatture e mastro crediti. Tuttavia, non esiste una procedura formale di analisi degli importi in sospeso oltre i 60 giorni prima della chiusura. Il rischio di controllo è valutato come medio (i controlli esistono ma la procedura di follow-up su crediti scaduti è incompleta).
Nota di documentazione: nel documento di valutazione dei rischi, il revisore scrive: "Rischio di controllo MEDIO. Controlli presenti: accessi SAP controllati, riconciliazioni mensili. Gap: assenza di procedura formale di follow-up crediti oltre 60 gg. Il rischio è mitigato in parte dall'accesso controllato, non completamente dalle procedure di follow-up."
Passo 3: Determinazione del rischio di rilevamento accettabile
Dato che il rischio intrinseco è elevato e il rischio di controllo è medio, il revisore determina che il rischio di rilevamento accettabile deve essere basso. Questo significa che i test sui crediti devono essere ampi e approfonditi. Il revisore sceglie:
Nota di documentazione: nel piano di audit, il revisore documenta: "Ciclo Ricavi e Crediti. Rischio di rilevamento BASSO. In conseguenza di rischio intrinseco ELEVATO + rischio di controllo MEDIO, i test di dettaglio saranno ampi: campione 40 su 450 (8.9%), conferme esterne per 3 clienti principali, follow-up crediti oltre 90 giorni, incassi post-chiusura fino al 31 marzo 2025."
Conclusione
L'applicazione del modello ha portato a determinare che il ciclo ricavi richiede una profondità di test significativa. Senza questa applicazione consapevole del modello, il revisore potrebbe aver testato solo il 2-3% delle fatture e avrebbe mancato completamente il rischio concentrato sui tre committenti pubblici. La documentazione del ragionamento protegge il fascicolo da rilievi su procedure insufficienti.

  • Test di dettaglio su un campione casuale di 40 fatture (su una popolazione di ~450 fatture emesse durante l'esercizio)
  • Analisi in dettaglio di ogni credito con scadenza oltre 90 giorni
  • Richiesta di conferme esterne per i tre principali committenti
  • Analisi degli incassi post-chiusura per i crediti ancora aperti alla data di bilancio

Cosa i revisori e gli ispettori non colgono

  • Tier 1 – Rilievo ispettivo: La FRC ha segnalato in diversi rapporti di ispezione che molti fascicoli mostrano una valutazione formale del rischio intrinseco e del rischio di controllo, ma non documentano come questi rischi abbiano influenzato la progettazione e l'ampiezza delle procedure di revisione. Il collegamento tra valutazione del rischio e risposta attraverso il modello del rischio di rilevamento è spesso assente dalla documentazione di pianificazione.
  • Tier 2 – Errore tecnico frequente: Il revisore valuta il rischio intrinseco come "elevato" in fase di pianificazione, ma poi procede con test che sarebbero appropriati per un rischio "medio" o "basso." L'ISA 330.6 richiede che le procedure di revisione siano risposte proporzionate ai rischi identificati. Se il rischio intrinseco è elevato, i test devono essere estesi in ampiezza (campioni più grandi) o profondità (procedure più approfondite). Questa proporzionalità non è frequentemente visibile nei fascicoli.
  • Tier 3 – Gap di pratica documentata: Molti team di revisione usano il modello del rischio di rilevamento implicitamente (scelgono profondità di test che riflettono i rischi percepiti) senza documentare esplicitamente come il modello sia stato applicato. Non scrivono "Dato rischio intrinseco ELEVATO e rischio di controllo MEDIO, il rischio di rilevamento accettabile è BASSO, quindi il campione è stato esteso al 10%" nel memorandum di pianificazione. L'assenza di questa logica esplicita è un gap.

Rischio di rilevamento vs. Risk of Material Misstatement (RMM)

Il rischio di rilevamento è diverso dal rischio di errore significativo (RMM). L'RMM è la valutazione formale del rischio che un'asserzione contenga un errore significativo prima di considerare i controlli gestiti dalla direzione. È il risultato della combinazione del rischio intrinseco e del rischio di controllo. L'ISA 315.27 richiede la valutazione dell'RMM a livello di asserzione.
Il rischio di rilevamento, invece, è il rischio che il revisore accetta in fase di pianificazione riguardo alle sue procedure di audit. È determinato dal revisore come risposta all'RMM. Se l'RMM è elevato, il rischio di rilevamento accettabile sarà basso (test estesi). Se l'RMM è basso, il rischio di rilevamento accettabile sarà più alto (test meno estesi).
Un fascicolo potrebbe dichiarare correttamente "RMM elevato per la completezza dei ricavi" (ISA 315.27) ma poi non documentare come il rischio di rilevamento accettabile sia stato determinato di conseguenza, o come le procedure siano state calibrate per questo rischio di rilevamento.

Termini correlati

---

Ricevi approfondimenti pratici sulla revisione, ogni settimana.

Niente teoria d'esame. Solo ciò che rende le revisioni più efficienti.

Oltre 290 guide pubblicate20 strumenti gratuitiCreato da un revisore in esercizio

Niente spam. Siamo revisori, non venditori.